单选题某政府机构委托开发商开发了一个OA系统,其中公文分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用HTTP下载代替了FTP功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的:()A程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求B程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能C程序员在软件编码时,缺乏足够的经验,编写了不安全的代码D程序员在进行软件测试时,没有针对软件安全需求进行安全测试
单选题
某政府机构委托开发商开发了一个OA系统,其中公文分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用HTTP下载代替了FTP功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的:()
A
程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求
B
程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C
程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D
程序员在进行软件测试时,没有针对软件安全需求进行安全测试
参考解析
解析:
暂无解析
相关考题:
以下关于软件生命周期的叙述不正确的是______。A.软件生命周期包括以下几个阶段:项目规划、需求定义和需求分析、软件设计、程序编码、软件测试、运行维护B.程序编码阶段是将软件设计的结果转换成计算机可运行的程序代码。为了保证程序的可读性、易维护性和提高程序的运行效率,可以通过在该阶段中制定统一并符合标准的编写规范来使编程人员程序设计规范化C.软件设计阶段主要根据需求分析的结果,对整个软件系统进行设计,如系统框架设计、数据库设计等D.需求分析阶段对软件需要实现的各个功能进行详细分析。软件需求一旦确定,在整个软件开发过程中就不能再变化,这样才能保证软件开发的稳定性,并控制风险A.B.C.D.
某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()A、软件安全开发生命周期较长,而其中最重要的是要在软件的编码...好安全措施,就可以解决90%以上的安全问题B、应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多C、和传统的软件开发阶段相比,微软提出的安全开发生命周期(securitydevetqpmefrtliocyclnsdl)的最大特点是增加了一个专门的安全编码阶段D、软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试
某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在Web目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,一下那种测试方式是最佳的测试方法.()A、模糊测试B、源代码测试C、渗透测试D、软件功能测试
某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?()A、渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞B、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C、渗透测试使用人工进行测试,不依赖软件,因此测试更准确D、渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登陆功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:()A、网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码导致攻击面增大,产生此安全问题B、网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题C、网站问题是由于使用便利性提高带来网站用户数增加,导致网络攻击面增大,产生此安全问题D、网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此安全问题
某政府机构委托开发商开发了一个OA系统,其中公文分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用HTTP下载代替了FTP功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的:()A、程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求B、程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能C、程序员在软件编码时,缺乏足够的经验,编写了不安全的代码D、程序员在进行软件测试时,没有针对软件安全需求进行安全测试
为了保证应用软件的安全性,在应用软件开发过程中,需要注意遵循的原则并不包括()A、软件测试由专业程序员独立进行B、控制程序中的不安全因素C、将安全设计作为系统设计的一部分D、加强注重人机接口界面设计
下列哪个不是软件缺陷(漏洞)的来源()A、对软件需求分析中缺乏对安全需求、安全质量的定义,导致软件设计中缺乏与安全需求对应的安全功能与安全策略B、对软件设计中缺乏安全方面的考虑,设计了不安全或没有很好的权限与能力限制的功能,或者缺乏对应安全需求的安全功能、安全策略设计C、软件的代码编制过程中,由于开发人员对安全缺乏理解及相关知识,或者失误,导致了错误的逻辑或者为对数据进行过滤和检查,或者对自身权限的限制D、在软件的测试过程中,由于开发测试人员缺乏对安全使用软件的理解,使用了非常规的操作方法,导致了错误的逻辑或突破了权限的限制
软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是()A、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实B、在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足C、确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码D、在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
传统软件开发方法无法有效解决软件安全缺陷问题的原因是()。A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段B、传统的软件开发方法,注重软件功能实现和保证,缺乏对安全问题进行处理的任务、里程碑与方法论,也缺乏定义对安全问题的控制与检查环节C、传统的软件开发方法,将软件安全定义为编码安全,力图通过规范编码解决安全问题,缺乏全面性D、传统的软件开发方法仅从流程上规范软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源
某政府机构委托开发商开发了一个OA系统,其中有一个公文分发,公文通知等为WORD文档,厂商在进行系统设计时使用了FTP来对公文进行分发,以下说法不正确的是()A、FTP协议明文传输数据,包括用户名和密码,攻击者可能通过会话过程嗅探获得FTP密码,从而威胁OA系统B、FTP协议需要进行验证才能访问在,攻击者可以利用FTP进行口令的暴力破解C、FTP协议已经是不太使用的协议,可能与新版本的浏览器存在兼容性问题D、FTP应用需要安装服务器端软件,软件存在漏洞可能会影响到OA系统的安全
某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?()A、对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题B、要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识C、要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞D、要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验
某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是()A、网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题B、网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题C、网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题D、网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法。()A、模糊测试B、源代码测试C、渗透测试D、软件功能测试
单选题某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在Web目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,一下那种测试方式是最佳的测试方法.()A模糊测试B源代码测试C渗透测试D软件功能测试
单选题某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法。()A模糊测试B源代码测试C渗透测试D软件功能测试
单选题某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()A软件安全开发生命周期较长,而其中最重要的是要在软件的编码...好安全措施,就可以解决90%以上的安全问题B应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多C和传统的软件开发阶段相比,微软提出的安全开发生命周期(securitydevetqpmefrtliocyclnsdl)的最大特点是增加了一个专门的安全编码阶段D软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试
单选题为了保证应用软件的安全性,在应用软件开发过程中,需要注意遵循的原则并不包括()A软件测试由专业程序员独立进行B控制程序中的不安全因素C将安全设计作为系统设计的一部分D加强注重人机接口界面设计
单选题下列哪个不是软件缺陷(漏洞)的来源()A对软件需求分析中缺乏对安全需求、安全质量的定义,导致软件设计中缺乏与安全需求对应的安全功能与安全策略B对软件设计中缺乏安全方面的考虑,设计了不安全或没有很好的权限与能力限制的功能,或者缺乏对应安全需求的安全功能、安全策略设计C软件的代码编制过程中,由于开发人员对安全缺乏理解及相关知识,或者失误,导致了错误的逻辑或者为对数据进行过滤和检查,或者对自身权限的限制D在软件的测试过程中,由于开发测试人员缺乏对安全使用软件的理解,使用了非常规的操作方法,导致了错误的逻辑或突破了权限的限制
单选题某政府机构委托开发商开发了一个OA系统,其中有一个公文分发,公文通知等为WORD文档,厂商在进行系统设计时使用了FTP来对公文进行分发,以下说法不正确的是()AFTP协议明文传输数据,包括用户名和密码,攻击者可能通过会话过程嗅探获得FTP密码,从而威胁OA系统BFTP协议需要进行验证才能访问在,攻击者可以利用FTP进行口令的暴力破解CFTP协议已经是不太使用的协议,可能与新版本的浏览器存在兼容性问题DFTP应用需要安装服务器端软件,软件存在漏洞可能会影响到OA系统的安全
单选题某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是()A网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题B网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题C网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题D网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
单选题传统软件开发方法无法有效解决软件安全缺陷问题的原因是()。A传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段B传统的软件开发方法,注重软件功能实现和保证,缺乏对安全问题进行处理的任务、里程碑与方法论,也缺乏定义对安全问题的控制与检查环节C传统的软件开发方法,将软件安全定义为编码安全,力图通过规范编码解决安全问题,缺乏全面性D传统的软件开发方法仅从流程上规范软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源
单选题网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登陆功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:()A网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码导致攻击面增大,产生此安全问题B网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题C网站问题是由于使用便利性提高带来网站用户数增加,导致网络攻击面增大,产生此安全问题D网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此安全问题
单选题某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?()A渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞B渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C渗透测试使用人工进行测试,不依赖软件,因此测试更准确D渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
单选题某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?()A对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题B要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识C要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞D要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验
单选题软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是()A在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实B在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足C确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码D在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行